KI von Anthropic entdeckt kritische Firefox-Sicherheitslücken

Künstliche Intelligenz revolutioniert die Cybersicherheit: In einem gemeinsamen Projekt mit Mozilla identifizierte das KI-Modell Claude Opus 4.6 innerhalb von zwei Wochen 22 Schwachstellen im Browser-Code – darunter 14 hochkritische. Der Test zeigt, wie KI traditionelle Sicherheitsaudits beschleunigt.

Angesichts der rasanten Entwicklung von KI-gestützten Analysetools müssen Unternehmen ihre IT-Sicherheitsstrategien heute schneller anpassen denn je. Dieser kostenlose Experten-Report enthüllt effektive Strategien, wie sich mittelständische Betriebe ohne Budget-Explosion gegen moderne Cyberkriminelle wappnen können. Effektive Strategien gegen Cyberkriminelle entdecken

KI findet ein Fünftel aller kritischen Firefox-Lücken

Die Zusammenarbeit zwischen dem KI-Entwickler Anthropic und dem Browser-Hersteller Mozilla markiert einen Wendepunkt. Das im Februar 2026 gestartete Modell Claude Opus 4.6 analysierte den Quellcode von Firefox, einem der am gründlichsten getesteten Open-Source-Projekte weltweit. Das Ergebnis überraschte selbst Experten: Nach nur zwanzig Minuten fand die KI die erste kritische Speicher-Schwachstelle.

Innerhalb des zweiwöchigen Tests durchforstete das System etwa 6.000 C++-Dateien und generierte 112 Fehlerberichte. Mozillas Sicherheitsteams bestätigten anschließend 22 echte Sicherheitslücken. Besonders bemerkenswert: Die 14 hochkritischen Fehler entsprechen fast einem Fünftel aller solcher Schwachstellen, die im gesamten Jahr 2025 in Firefox gepatcht wurden. Diese Entdeckungsgeschwindigkeit übertrifft manuelle Code-Überprüfungen und herkömmliche Fuzzing-Techniken bei weitem.

Angriff bleibt schwierig – Verteidiger im Vorteil

Doch kann die KI gefundene Lücken auch weaponisieren? Anthropic testete genau das in einer umfangreichen Übung. Das Modell sollte praktische Exploits für die entdeckten Schwachstellen entwickeln. Trotz hunderten Versuchen und Kosten von rund 4.000 Euro für API-Credits gelang dies nur bei zwei Fehlern.

Einer der erfolgreichen Angriffe zielte auf CVE-2026-2796 ab – eine kritische WebAssembly-Lücke mit dem hohen Schweregrad 9,8. Allerdings funktionierten diese Exploits nur in einer speziellen Testumgebung, in der wichtige Sicherheitsfunktionen des Browsers deaktiviert waren. Für komplexe Angriffsketten, die aus dem Browser-Sandbox ausbrechen, reichten die Fähigkeiten der KI nicht aus.

Sicherheitsexperten werten dies als klares Zeichen: Der Aufwand, Schwachstellen mit KI zu finden, ist deutlich geringer als der, sie für echte Angriffe nutzbar zu machen. Aktuell haben Verteidiger also die Nase vorn.

Open-Source-Projekte vor Flut schlechter KI-Berichte

Mozilla reagierte schnell auf die Entdeckungen und schloss die Lücken mit Firefox Version 148 Ende Februar 2026. Die Qualität der KI-Berichte überzeugte: Sie enthielten minimale Testfälle und Lösungsvorschläge, was die Überprüfung beschleunigte. Mozilla lud Anthropic sogar ein, künftig KI-Funde gebündelt einzureichen.

Doch die breitere Open-Source-Gemeinschaft bleibt vorsichtig. Immer mehr Projekte werden mit minderwertigen, teils halluzinierten Sicherheitsmeldungen von KI-Systemen überflutet. Daniel Stenberg, Lead-Entwickler des weit verbreiteten curl-Projekts, berichtet von einer Explosion automatisierter Meldungen. 2025 war weniger als jede zwanzigste gemeldete Schwachstelle tatsächlich eine echte Bedrohung.

Während KI die technische Sicherheit verbessert, schafft der regulatorische Rahmen wie die EU-KI-Verordnung neue Compliance-Anforderungen für Unternehmen. Erfahren Sie in diesem kompakten E-Book ohne juristische Fachkenntnisse, welche konkreten Pflichten und Fristen für Ihren Betrieb jetzt verbindlich sind. EU-KI-Verordnung: Jetzt kostenlosen Umsetzungsleitfaden sichern

Anthropic betont daher die Notwendigkeit menschlicher Kontrolle. In der Firefox-Studie validierten Forscher jede KI-Entdeckung in einer isolierten virtuellen Maschine, bevor sie an Mozilla gingen. Dieser verifizierte Ansatz soll verhindern, dass KI-Tools unbeabsichtigt als Denial-of-Service-Waffe gegen Open-Source-Teams wirken.

KI wird zum festen Werkzeug der Sicherheitsbranche

Der Firefox-Test ist mehr als eine Einzelleistung. Neben den 22 direkt gefundenen Lücken deckte die KI-unterstützte Analyse 90 weitere Fehler in Mozillas Systemen auf – viele davon komplexe Logikfehler, die herkömmliche Tests übersehen hatten.

Mozilla sieht darin einen Beweis: Große Sprachmodelle sind eine mächtige Ergänzung im Werkzeugkasten der Sicherheitsingenieure. Ihre Fähigkeit, Code-Kontext zu verstehen, ermöglicht die Identifikation ganz neuer Fehlerklassen. Anthropic treibt diese Entwicklung mit speziellen Code-Security-Tools voran, die seit Anfang 2026 verfügbar sind.

Die Teil-Erfolge bei der Exploit-Entwicklung gelten jedoch als Warnzeichen. Während KI-Modelle 2026 weiter an Sophistication gewinnen, erwarten Cybersicherheits-Professionals ein permanentes Wettrennen zwischen automatisierter Verteidigung und potenzieller automatisierter Angriffe. Für die nahe Zukunft bleibt die Waage zugunsten der Verteidiger geneigt – KI hilft vor allem dabei, kritische Infrastruktur zu sichern, bevor Angreifer dieselben Schwachstellen finden.

boerse | 68681130 |